数据安全管理培训材料（PPT30页)

数据安全培训21234建立对数据安全的正确认识知悉数据安全相关规范安全寄语培养安全意识和良好的习惯主要内容3什么是数据？在信息研究领域中对其没有确切的定义，但概括出来数据有两个性质：1.数据安全正确认识一、和公司其它资源一样，是维持公司持续运作和管理的必要资产，例如政策方针、市场报告、科研数据、计划方案、竞争情报等等，这些信息可能从多个方面对公司运营产生影响。二、可以是无形的，可借助于媒体以多种形式存在或传播；数据可以存储在计算机、磁带、纸张等介质中；数据可以记忆在人的大脑里；数据可以通过网络、打印机、传真机等方式进行传播。4一个软件公司的老总，等他所有的员工下班之后，他在那里想：我的企业到底值多少钱呢？假如它的企业市值1亿，那么此时此刻，他的企业就值2600万。因为据Borland公司统计，公司价值的26%体现在固定资产和一些文档上，而高达42%的价值是存储在员工的脑子里，而这些信息的保护没有任何一款产品可以做得到，所以需要我们建立信息安全管理体系，也就是常说的ISMS！为什么要搞好数据安全？5装有100万的保险箱需要3个悍匪、公司损失：100万装有客户信息的电脑只要1个商业间谍、1个U盘，就能偷走。公司损失：所有客户！1辆车，才能偷走。1.数据安全正确认识相关人员安全策略IT设施安全产品安全资源我们现在的敏感数据安全吗？我们下一步应该怎样做？我们的安全投资有价值吗？业务需求数据安全导向设计部署运行保障6安全风险信息资产数据管理系统数据存储系统数据传输系统数据处理系统数据威胁脆弱影响安全事件形成安全事件A安全事件B信息事件业务损失业务损失业务损失业务损失业务损失发生不发生安全事故少发生安全事故发生事故减少损失安全事故造成业务损失安全目标B公司安全安全业务方数据数据A公司安全管理规范信息管理数据管理1.数据安全正确认识782.数据安全相关规范数据安全管理对象客户服务中心数据安全管理规范91.数据认识现阶段特指客户方强调的客户数据，具体内容包括：与客户相关的1、联系电话；2、详细地址（区、镇以后的详细地址）；3、身份证号码；4、邮箱、MSN、QQ号等；以上及其他任一联系方式。敏感数据：2.1数据安全管理对象2.2数据安全相关规范【总则】【安全规范】【处理流程】【处罚规范】数据安全管理规范10112.2数据安全相关规范【总则】第一条客户数据是重要的信息资源。客户数据的丢失、泄露必将给带来不同程度的各种损失。为了保障客户服务中心数据安全，根据有关法规，特制定本规范。第二条数据安全管理规范的目的，是为了防止客户服务中心数据的丢失、泄露与被破坏以及非法生成、变更，确保数据的保密性。第三条客户数据保密性是指在数据的采集、传输、处理、存储、提供等过程中通过各种技术手段和完善的规章制度，使数据不丢失、不被破坏，未经授权不被访问，保证数据的安全。第四条数据管理部对于关联业务公司数据类业务的操作规范进行审核。122.2数据安全相关规范【第二章】数据安全管理的范围第五条客户服务中心数据安全管理对象为：所有利用计算机和计算机网络进行输入、存储、传输、处理、再加工和输出的包含有客户信息类数据。包括：文字材料、数据报表、各类原始凭证、图形图象等输入处理对象，计算机内部存储和网络传输的各类数据，计算机输出的磁存储、光存储及各类纸介质打印数据。132.2数据安全相关规范【第三章】数据安全管理的原则第六条客户数据必须有据、合法。必须经过合法的手续和规定的渠道采集、存储、加工、处理和传输数据，采用的数据范围应与规定的用途相符。第七条客户数据使用与管理的统一。客户数据使用者必须承担数据的管理职责，有责任保护数据，防止数据的丢失、泄露与被破坏。第八条根据权限使用数据。数据的使用者只能使用其权限范围内的数据。任何人不能使用未被授权的数据。第九条及时备份数据。数据使用者应注意及时进行数据备份，以防止数据的丢失和被破坏。对于特殊、重要的数据，系统应建立备份与灾难恢复系统，随时自动进行数据的备份。142.2数据安全相关规范【第三章】数据安全管理的原则第十条客户数据的使用必须经过批准。未经有关批准手续，不得传输数据，不得泄露给内部或外部的无关人员。第十一条保密数据应严格按保密规定处理。未经批准解密的数据，不得对外提供或发布。第十二条建立必要的监督、管理机制。建立完整的数据安全管理制度和规定，确保数据在数据处理各环节中的安全，保证数据的使用者和管理者的合法权益。152.2数据安全相关规范【第四章】数据处理各环节安全要求第十三条敏感数据的导入导出，所使用的帐号必须由内部指定专人保管与使用。第十四条在敏感数据的传递过程中提供数据方和接受数据方都应对数据进行加密，密码与数据要分开保证数据的安全性。第十五条收到客户信息类数据后，必须及时进行数据处理且不得以任何形式复制保留敏感数据。第十六条为了保证数据的安全性，必须对数据的操作者和使用者进行职责授权和使用授权确认。162.2数据安全相关规范【第四章】数据处理各环节安全要求第十七条必须对采集数据的合法性、输入数据的有效性及业务处理的正确性进行全面确认；必须采用各种有效的技术手段与岗位职责，确保采集、存储、传输、处理、加工和输出的数据正确可用。第十八条对客户数据中的所有敏感数据都应根据其重要性和应用需求，决定操作人员的存取权限和存取方式。第十九条采取相应的保密措施和管理办法，确定内部数据使用和对外信息发布的数据范围和报批手续。第二十条对相关的客户资料非必要不允许打印或如需借用秘密文件需通过数据管理部部长签字，输出的文件应当按照相应密级文件管理，且打印后产生的残废页须及时销毁。172.2数据安全相关规范【第五章】应用系统和系统平台安全要求第二十一条操作系统及数据库管理系统的系统管理员应由政治可靠、工作责任心强和业务技术水平高的人员担任，负责对系统的使用。系统帐号管理员必须对系统帐号分派进行严格的工作记录。第二十二条为保障数据安全、防止非法用户进入系统，对系统的访问应采用帐号密码的方式进行身份验证。第二十三条应用系统及平台操作各个权限必须分离，严禁权限交叉操作业务数据，账号密码按规定定期更改。182.2数据安全相关规范【第五章】应用系统和系统平台安全要求第二十四条系统应建立对资源访问的审计跟踪系统，审计记录：身份及验证机制的使用，用户对系统资源的访问，操作系统、数据库管理系统的行为，以及与数据安全相关的事件。审计记录的访问只能是被授权的只读访问，任何人不得修改。第二十五条客户信息类数据文件需要保存有合理安全配置的存贮空间上，防止未经授权的访问；对文件应按备份计划定期归档，不再需要的文件应该按计划清除。192.2数据安全相关规范【第六章】终端与人员要求第二十六条严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口，计算机出现故障时应及时向电脑负责部门报告，不允许私自处理或找非本单位技术人员进行维修及操作。第二十七条员工在使用自己所属的计算机时，应该设置开机、屏幕保护口令；屏幕保护程序启动等待时间为10分钟，并且屏幕保护程序必须为操作系统自带的，在设置目录共享时，应该设置共享口令。202.2数据安全相关规范【第六章】终端与人员要求第二十八条严格禁止计算机通过Modem或加装其它上网设备（如：3G上网卡、CDMA卡等类似设备）等连接到外部网络。第二十九条员工的互联网访问权限只限本人使用，不得通过设置代理等方式提供给其他员工使用。第三十条所有访问敏感信息的员工、承包方和第三方人员要在能访问信息处理设施前签署保密协议。并参加相应数据安全规范的培训。212.2数据安全相关规范【第六章】终端与人员要求第三十一条在员工正式投入工作、获准访问敏感信息或信息系统之前，应再次向该员工明确和细化其岗位所承担的信息安全责任和相关要求。第三十二条工作电脑中，不得存储任何有关客户信息类数据资料。第三十三条有关密码授权工作人员调离岗位，有关部门负责人须指定专人接替并对密码立即修改或用户删除。222.2数据安全相关规范【第七章】处理流程第三十五条安全整改单位需在3个工作日内做出改善安排。第三十六条安全改善事项的进展每5个工作日须向市场部CRM科提交整改进度。第三十七条安全改善完毕后，相应安全检查部门需进行成果复查直至整改完善。第三十八条整改结果将直接作为该单位是否遵循《客服中心数据安全管理规范》执行相关管理规范。232.2数据安全相关规范【第八章】处罚规范第三十四条处罚部分，按照违规的程度分为4个层次，2个方面；a）最重处罚：扣除合同30%考核金额，对直接责任人及公司领导免职及经济处罚；b）次重处罚：扣除合同20%考核金额，对直接责任人及主管领导进行相应行政及经济处罚；c）中等处罚：扣除合同10%考核金额，对直接责任人及直属领导进行相应行政及经济处d）轻微处罚：对直接责任人进行相应行政处罚；24计算机使用安全1.对个人用计算机要设置帐户密码，2.信息安全规定个人电脑口令长度应该不低于6位，服务器口令长度应该不低于8位且最好要为大写字母、小写字母、数字、特殊字符的组合，防止非法用户猜出你的密码；3.加强对计算机信息保护，离开机器时要及时对机器锁屏（Win+L）；4.计算机防病毒软件，经常升级病毒库；5.加强对移动计算机的安全保护，防止丢失；3.数据安全良好的习惯25社交信息安全1.不在电话中说工作敏感信息2.不通过email传输敏感信息，如要通过EMAIL最好加密以后再传输3.电话回叫首先要确认身份4.防止信息窃取5.不随意下载安装软件，防止恶意程序、病毒及后门等黑客程序6.不随意打开可执行的邮件附件，如.EXE,.BAT,.VBS,.COM,.PIF,.CMD,打开附件时最好进行病毒检查3.数据安全良好的习惯26重要的信息保密1.每次接触的客户信息资料要及时回放，不要随手乱丢2.学习数据安全的相关规定，熟悉重要数据的处理方法；3.对于自己接触到的相关信息，在工作外不能随便乱讲；4.建立外人探听自己信息的防范之心，拒绝物质诱惑；5.不随意在网上发表关于工作重要的信息内容；3.数据安全良好的习惯27重要的信息保密1.每次接触的客户信息资料要及时回放，不要随手乱丢2.学习数据安全的相关规定，熟悉重要数据的处理方法；3.对于自己接触到的相关信息，在工作外不能随便乱讲；4.建立外人探听自己信息的防范之心，拒绝物质诱惑；5.不随意在网上发表关于工作重要的信息内容；3.数据安全良好的习惯28安全基本上是一个“人”的问题，计算机不会主动发起攻击。遭受攻击只是时间早晚的问题，而不是会不会发生的问题。一次入侵只需要针对一个薄弱点，而防御系统却要做到全方位的安全。足够的准备就是“一次大灾难”与“仅仅一次小麻烦”的区别。安全不是一个技术层面的问题，而是一个管理层面上的问题。100%的安全是无法实现的，最终目标是要追求成本与安全收益平衡。4.信息安全寄语29。4.信息安全寄语安全要旨数据传输要加密，接收对象要明确；系统帐号分开管，使用帐号需登记；帐号密码定期改，专人管理要保密；工作电脑要合规，U口外网要禁止；安全情况定期查，查出纰漏要改善；数据安全要牢记，涉及数据慎言行。30谢谢！